Архив метки: Fun

Выпустил базированный трек про Vulnerability Management

Выпустил базированный трек про Vul­ner­a­bil­i­ty Man­age­ment. 🙂 Это на основе поста "На что похожа работа специалиста по Управлению Уязвимостями".

[verse]
В ИБшном департаменте есть специалист,
Чей рабочий путь опасен и тернист.
В IT, разрабах, бизнесе ему никто не рад.
Его задача изменить привычный всем расклад.

[cho­rus]
Конкретен как сигнал "Внимание Всем"!
Это норма! Это база! Это VM! Это VM!
Конкретен как сигнал "Внимание Всем"!
Это норма! Это база! Это VM! Это VM!

[verse]
На обсуждениях патчинга стоит ажиотаж:
Скепсис, обвинения и скрытый саботаж.
"Мы обновить не можем", лукавят хитрецы.
А в случае инцидента — "мы ж не знали, не спецы".

[cho­rus]
На ропот наш ответ — "Внимание Всем"!
Это норма! Это база! Это VM! Это VM!
Включаем наш сигнал "Внимание Всем"!
Наша норма! Наша база! Это VM! Это VM!

Новый трек про потенциальную апрельскую zero-click RCE уязвимость в Telegram

Новый трек про потенциальную апрельскую zero-click RCE уязвимость в Telegram. 🙂 Рифмованная переработка предыдущего поста.

На прошлой неделе разыгралась драма:
Якобы zero-click RCE в Win­dows клиенте Телеграма.
Злодей засылает картинку тебе, друже,
И запускает калькулятор или что похуже.
Или даже не конкретно тебе, не столь важен адресат,
Это может быть и какой-нибудь общий чат.
Главное, включенная автозагрузка изображений.
Неужели правда?! Есть несколько мнений.

Разрабы Телеграма отрицают фаталити.
Есть что показать? Шлите на bug boun­ty!
За 10к баксов. Верить ли видео? Решай сам.
Вполне может быть и какой-то скам.

Однако, как по мне, это видео реальное,
Хотя и ситуация не такая фатальная.
Это не zero-click, а запускает зловреда тушку
Беспечный клик жертвы на превьюшку.
Этот клик запускает файл .pyzw,
Если не знаешь что это, сейчас поясню.
Исполняемый zip-архив с программой на Питон.
Запускать такое по клику в мессенджере — страшный сон.
И Телеграм такое должен бы блокировать вроде
Если бы не досадная опечатка в коде…

Но почему это файл показывается как картинка?
Похоже наложилась в детeкте по Mime-type ошибка.

Короче, по в вопросу zero-click RCE в Telegram ставим пока многоточие…
А ты подпишись на канал avleonovrus "Управление Уязвимостями и прочее". 😉

Эксплуатируемая вживую уязвимость Remote Code Execution — Palo Alto Networks PAN-OS (CVE-2024–3400) с CVSS 10/10

Эксплуатируемая вживую уязвимость Remote Code Exe­cu­tion — Palo Alto Net­works PAN-OS (CVE-2024–3400) с CVSS 10/10. Продолжаю играться с музыкальной подачей. 😅

RCE в NGFW от Palo Alto…
Максимальная критичность и атаки in the wild

Palo Alto шлёт горячий пятничный привет
Инъекция команды в фиче Glob­al­Pro­tect
Без аутентификации и без хлопот
Злодей исполнит от root‑а произвольный код

(cho­rus)
RCE в файрволе от Пальто
Реальное Next Gen­er­a­tion решето
CVSS десятка — опять!
Давно пора его импортозамещать!

Согласно Shad­owServ­er в России в данный момент
600 хостов с Palo Alto доступно из Интернет
На общем фоне немного, это да
Но ты проверь своё пальто, чтоб не случилась беда

Хорошего уикенда, планета Земля!
Удачи с фиксом CVE-2024–3400!

Уязвимые версии:
🔹 PAN-OS 11.1: версии 11.1.2‑h3
🔹 PAN-OS 11.0: версии 11.0.4‑h1
🔹 PAN-OS 10.2: версии 10.2.9‑h1 Upd. 15.04 "Исправления PAN-OS теперь доступны, и на подходе новые исправления, разъяснены workaround‑ы и меры по снижению рисков при использовании шаблонов Panora­ma".

Эксплуатация трендовой RCE уязвимости в Outlook (CVE-2024–21378) с помощью утилиты Ruler работает!

Эксплуатация трендовой RCE уязвимости в Out­look (CVE-2024–21378) с помощью утилиты Ruler работает! В статье на хабре по трендовым уязвимостям марта я писал буквально следующее:

"Кроме того, исследователи обещают добавить функциональность по эксплуатации в опенсорсную утилиту Ruler.
Ruler — это инструмент, который позволяет удаленно взаимодействовать с серверами Exchange через протокол MAPI/HTTP или RPC/HTTP.
Основная задача утилиты — злоупотреблять клиентскими функциями Out­look и получать удаленный шелл.
Эта утилита используется для проведения пентестов. Но разумеется, ее могут эксплуатировать в своих атаках и злоумышленники."

И вот эту функциональность добавили. А коллеги из PT SWARM её протестировали. Работает. 🔥 📐📏
Ждём сообщений об эксплуатации вживую. 😈

В видяшке я балуюсь с нейросеточкой от SUNO AI, которая генерит песню по любому тексту и описанию стиля меньше чем за минуту. 😇 Не обязательно по зарифмованному тексту, вот например абсолютно генеальный трек по рецепту шашлыка в аджике. 😅 Вот ещё песня Винни-Пуха крутая. Или вот "Встань, страх преодолей" в стиле блюз, это я сам генерил. 🙂 В день можно запускать 5 бесплатных генераций. С российских IP сервис иногда не работает. 🤷‍♂️

Как мы предполагали,
И как Net­SPI писали,
Они закантрибьютили
В Ruler свой эксплоит.
(RCE в Out­look)

PT SWARM всё проверил –
Pаботает, как надо.
No back con­nect required!
Для Out­look вектор надежный и простой.

Но ты услышав это не паникуй не плач
Заставь айтишников поставить патч!

Out­look запатчить не такая канитель
Ведь патч февральский, а сейчас апрель.

Пока в вашу инфру не влез злодей…

Скинули мою лекцию по VM‑у распознанную нейронкой: довольно забавные каламбуры выдаёт, ошибаясь в терминах

Скинули мою лекцию по VM-у распознанную нейронкой: довольно забавные каламбуры выдаёт, ошибаясь в терминах

Скинули мою лекцию по VM‑у распознанную нейронкой: довольно забавные каламбуры выдаёт, ошибаясь в терминах. 😆

🔸 4 место. "СПЕшки" вместо "CPE-шки"
🔸 3 место: "в лабиринте Man­age­ment" вместо "Vul­ner­a­bil­i­ty Man­age­ment"
🔸 2 место: "CISO Non-Exploit­ed Vul­ner­a­bil­i­ty Cat­a­log" вместо "CISA Known Exploit­ed Vul­ner­a­bil­i­ties Cat­a­log"
🔸 1 место: "BDOF-стек" вместо "БДУ ФСТЭК".

Сегодня осознал, что мои отсылки могут быть непонятны

Сегодня осознал, что мои отсылки могут быть непонятны. 😅 В разговоре проскочило про "звёзды ИБ" и я на автомате выдал "готовиться надо ко встрече со звездой". В ответ непонимание. 😳 Пришлось пояснять, что был такой старый мем с Киркоровым. 🤦‍♂️ Потом посмотрел когда ж Бедросович это отчебучивал. 2004 год, 20 лет назад! Многие коллеги тогда ещё не родились или были совсем маленькими. 🤷‍♂️🙂 Вот так оно и начинается…

У Checkmarx вышел отчёт "The Future of APPLICATION SECURITY 2024" содержащий чудесный ТОП3 отмазок "почему уязвимый код ушёл в прод?" (от AppSec менеджеров, CISO и разработчиков)

У Checkmarx вышел отчёт The Future of APPLICATION SECURITY 2024 содержащий чудесный ТОП3 отмазок почему уязвимый код ушёл в прод? (от AppSec менеджеров, CISO и разработчиков)
У Checkmarx вышел отчёт The Future of APPLICATION SECURITY 2024 содержащий чудесный ТОП3 отмазок почему уязвимый код ушёл в прод? (от AppSec менеджеров, CISO и разработчиков)

У Check­marx вышел отчёт "The Future of APPLICATION SECURITY 2024" содержащий чудесный ТОП3 отмазок "почему уязвимый код ушёл в прод?" (от AppSec менеджеров, CISO и разработчиков).

AppSec менеджеры
1. Чтобы уложиться в дедлайны, связанные с бизнесом, выкаткой фич или безопасностью.
2. Уязвимость должна была быть исправлена в более позднем релизе.
3. Уязвимость не была критической.

CISO
1. Надеялись, что уязвимость не будет эксплуатабельной. 🤞
2. Чтобы уложиться в дедлайны, связанные с бизнесом, выкаткой фич или безопасностью.
3. Уязвимость не была эксплуатабельной.

Разработчики
1. Уязвимость должна была быть исправлена в более позднем релизе.
2. Уязвимость не была критической.
3. Чтобы уложиться в дедлайны, связанные с бизнесом, выкаткой фич или безопасностью.

Варианты AppSec менеджеров и Разработчиков различаются только порядком. А вот CISO больше про реальную эксплуатабельность (чтобы это не привело к большому скандалу) и надежду на лучшее. 😏😅